Kategorie: Aufsichtsbehördliche Maßnahmen

DSGVO-Sanktion gegen Tennisverband wegen Datenverkauf

10. März 2020

Die niederländische Aufsichtsbehörde verhängte gegen den Tennisverband „Koninklijke Nederlandse Lawn Tennisbond“ (KNLTB) eine Geldbuße von 525.000 EUR, weil er die personenbezogenen Daten seiner Mitglieder verkauft hatte. Im Jahr 2018 stellte KNLTB unrechtmäßig die personenbezogenen Daten einiger tausend seiner Mitglieder zwei Sponsoren zur Verfügung.

Darunter waren der Name, das Geschlecht und die Adresse der Mitglieder. Die Sponsoren nutzten die Daten dazu um an die betroffenen Personen heranzutreten und ihnen tennisbezogene und andere Angebote unterbreiten zu können. Ein Sponsor erhielt personenbezogene Daten von 50.000, der andere von mehr als 300.000 Mitgliedern. Die Sponsoren wandten sich per Post oder Telefon an einige dieser KNLTB-Mitglieder.

Der Tennisverband hat sich auf das berechtigte Interesse am Verkauf der Daten berufen. Die niederländischen Aufsichtsbehörden waren anderer Ansicht und entschieden, dass KNLTB keine Grundlage für die Weitergabe dieser personenbezogenen Daten an die Sponsoren hatte. Daher war die Übermittlung der personenbezogenen Daten rechtswidrig. Das verhängte Bußgeld von 525.000 Euro ist allerdings noch nicht rechtskräftig, weil der Tennisverband Rechtsmittel eingelegt kann.

Kennzeichenfahndung der brandenburgischen Landespolizei weiter unter Kritik von Datenschützern

14. Februar 2020

Die brandenburgische Landesbeauftragte für den Datenschutz bemängelt die Kennzeichenfahndungspraxis der Landespolizei. Diese nutzt seit mehreren Jahren festinstallierte Kfz-Kennzeichnen-Scanner, die schon länger Anlass zur Kritik von Datenschützern sind. Anfang Februar erklärte der Polizeipräsident, das Verfahren zugunsten des Datenschutzes nachgebessert zu haben. Für die Landesdatenschutzbeauftragte weist die Fahndungspraxis jedoch weiterhin erhebliche Mängel auf.

Zunächst bestehen Zweifel, ob man das System mit dem Namen „KESY“ mit einer ausreichenden Rechtsgrundlage einsetze. Zudem habe man nach erneuten Kontrollen festgestellt, das auch das Löschkonzept den Datenschutzstandards nicht entspreche. So wurden nach Angaben der Ermittler nur Daten gelöscht die vor dem 19. Juni 2019 erhoben wurden. Noch problematischer sei jedoch, dass der komplette, bis zum Stichtag gespeicherte Datenbestand auf andere Datenträger übertragen wurde. So sollen eventuelle Anfragen der Staatsanwaltschaft noch bearbeitet werden können. Eine tatsächliche Löschung sei also gar nicht erfolgt.

Ein weiterer Kritikpunkt ist das Fehlen eines Konzepts zum Umgang mit Auskunftsrechten von erfassten Personen. Bis heute besteht ein derartiges Konzept nicht. Die Behörden weisen lediglich auf ein anhängiges Beschwerdeverfahren am Landesverfassungsgericht hin.

Außerdem kommentiert die Datenschutzbeauftragte den Plan der Behörden technisch organisatorische Maßnahmen zum Schutz der Daten von Betroffenen einzusetzen. Die Polizeibehörde habe diese zwar angekündigt, es jedoch unterlassen genauere Angaben zu machen, wann und wie diese implementiert werden sollen.

Bußgeldverfahren gegen H&M: Verdacht der Ausforschung von Mitarbeitern

27. Januar 2020

Der Modehändler H&M steht wegen massiven Datenschutzverstößen in der Kritik. Die FAZ berichtete am Samstag, dass H&M im großen Stil private Daten seiner Mitarbeiter gesammelt und gespeichert hat. Die FAZ zitiert den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit mit den Worten, dass die Daten „detaillierte und systematische Aufzeichnungen von Vorgesetzten über ihre Arbeitnehmerinnen und Arbeitnehmer“ enthalten. Dabei geht es auch um Krankheiten und Familienstreitigkeiten.

Die Datenschutzbehörde in Hamburg (dort hat die Deutschlandzentrale von H&M ihren Sitz) ein Bußgeldverfahren eingeleitet, so die FAZ, nachdem sich der Verdacht der Spionage erhärtete. Der Datenschutzbeauftragte Johannes Caspar teilte mit, dass „das qualitative und quantitative Ausmaß der für die gesamte Leitungsebene des Unternehmens zugänglichen Mitarbeiterdaten eine umfassende Ausforschung der Mitarbeiterinnen und Mitarbeiter zeigt, die in den letzten Jahren ohne vergleichbares Beispiel ist“.

Der Umfang der Datenspeicherung war zufällig aufgeflogen, als Mitarbeiter des Kundencenters beim Durchstöbern interner Dateien im IT-System auf offen zugängliche Ordner mit brisantem Material stießen.

H&M äußerte sich zum Vorfall und teilte mit, dass der Vorfall ernst genommen werde und er aufrichtig bedauert wird. Der Vorfall befände sich in juristischer Prüfung.

Was für ein Bußgeld die Hamburger Datenschützer ins Auge fassen, bleibt abzuwarten.

Datenschutzrechtliche Verantwortung von Apotheken bei Kassenbons

17. Januar 2020

Seit dem 1. Januar gilt die Bonpflicht in Deutschland, das heißt auch für Apotheken, dass sie für ihre Kunden nach dem Erwerb von Medikamenten zwingend ein Kassenbon erstellen und mitgeben müssen.

Problematisch bei Apotheken im Gegensatz zu Bäckereien und Supermärkten ist, dass ihre Kassenbons personenbezogene Daten, wie den Namen, das Geburtsdatum, die Anschrift sowie das erworbene Produkt, enthalten. Es handelt sich hier um sensible Gesundheitsdaten, die einen besonderen Schutz genießen. Damit könnte es zu einem Problem werden, wenn die Kunden ihre Kassenbons vergessen oder verlieren. Die Frage ist, wie weit die datenschutzrechtliche Verantwortung von Apotheken in dieser Hinsicht geht.

Die Bundesvereinigung Deutscher Apothekerverbände e. V. wies darauf hin, dass in der Apotheke bewusst verbliebene personalisierte Bons von der Apotheke datenschutzkonform zu vernichten, also möglichst zu schreddern, sind.

Die Apothekenkammer Berlin erklärt zudem: „Verliert der Kunde einen personalisierten Kassenbon in der Apotheke oder lässt er den Bon bewusst oder versehentlich in der Apotheke liegen, verbleiben diese sensiblen Daten im Hoheitsbereich der Apotheke als datenschutzrechtlich verantwortliche Stelle. Liegt in der Offizin ein solcher personalisierter Bon und wird dies moniert – beispielsweise durch eine Beschwerde bei der zuständigen Berliner Landesdatenschutzbeauftragten –, trifft den Apothekeninhaber oder die Apothekeninhaberin die Beweislast, dass ihn oder sie daran kein Verschulden trifft.“

Die datenschutzrechtliche Verantwortung der Apotheke endet laut Kammer-Info, wenn der Kunde die Apotheke mit dem Bon verlassen hat. Dann sei es Angelegenheit des Kunden, wie er mit dem Bon umgeht: ob er ihn verwahrt, vernichtet oder ob er ihn einfach wegwirft.

Empfehlenswert ist es, überhaupt keine personenbezogene Daten auf die Kassenbons mehr zu drucken.

Geldbuße gegen Krankenhaus in Rheinland-Pfalz

12. Dezember 2019

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) verhängte gegen ein Krankenhaus ein Bußgeld in Höhe von 105.000 Euro. Grund dafür sind mehrere Verstöße gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten.

Dies führte zu falschen Rechnungsstellungen und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, betont: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“

Bußgeld für 1&1: Knapp 10 Millionen Euro Strafe für DSGVO-Verstoß

10. Dezember 2019

Gegen die Telekommunikationsfirma 1&1 Telecom GmbH hat der Bundesdatenschutzbeauftragte Ulrich Kelber ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.

Als Grund nannte Kelber das Fehlen von „hinreichenden technisch-organisatorischen Maßnahmen“ (TOMs) zum Schutz von Kundendaten. Die zum Konzernverbund gehörenden Mail-Anbieter Web.de und GMX sind davon jedoch nicht betroffen.

Die Aufsichtsbehörde kritisierte das unzureichende Authentifizierungsverfahren der 1&1 Telecom GmbH bei telefonischen Anfragen über die Kundenhotline. Die Angabe von Namen und Geburtsdatum hätten ausgereicht, um weitreichende personenbezogene Kundendaten zu erhalten. Dies stelle einen Verstoß gegen Artikel 32 DSGVO dar, da personenbezogene Daten nicht systematisch geschützt wurden und ein hohes Risiko für den gesamten Kundenbestand entstanden sei.

Das Unternehmen reagierte umgehend indem es den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker absicherte. Darüber hinaus bemühe man sich ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einzuführen.

Aufgrund dieses kooperativen Verhaltens der 1&1 Telecom GmbH bewege sich die Strafe noch im unteren Rahmen des Möglichen.

Gleichzeitig verhängte die Aufsichtsbehörde gegen einen weiteren Telekommunikationsanbieter, namentlich die Firma Rapidata, ein Bußgeld in Höhe von 10.000 Euro wegen eines Verstoßes gegen Artikel 37 DSGVO.

Die 1&1 Telecom GmbH hat inzwischen angekündigt, gegen den absolut unverhältnismäßigen“ Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt.

Vermehrte Datenpannen mit sensiblen Daten

3. Dezember 2019

Bei einer Abfrage des NDR bei den Datenschutzbehörden der Länder stellte sich heraus, dass sensible Daten von Patientinnen und Patienten in großer Zahl an falsche Adressen verschickt werden. Es wurden 850 Datenpannen durch Fehlversendungen von Patiententendaten gemeldet, wobei sechs Bundesländer keine Angaben machten.

Die Pannen kommen laut dem Bericht des NDR in allen Gesundheitsbereichen vor, sei es Kliniken oder Abrechnungsstellen. Ursächlich ist in der Regel menschliches Versagen durch falsche Adressierung, Kuvertierung, Verwechslung von Patienten und Ärzten oder Tippfehler.

Eine besonders auffällige Häufung der Datenpannen zeigte sich in einem Krankenhaus in Hamburg. So hatte die Asklepios Klinik Altona seit 2013 insgesamt elf Briefe mit vertraulichen Patientendaten fälschlich an eine Hamburger Psychotherapeutin verschickt, die mit den Patienten nichts zu tun hatte. Es drohen hohe Bußgelder für solche Datenpannen.

Thüringer Datenschutzaufsichtsbehörde veranlasst Hausdurchsuchung nach potentiellem Verstoß gegen die DSGVO

18. November 2019

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) hat die polizeiliche Durchsuchung einer Wohnung veranlasst. Den Beschluss der Hausdurchsuchung stellte das Amtsgericht Erfurt aus.

Anlass hierfür war eine in der Nachbarschaft herumfliegende Drohne. Ein Nachbar des Drohnenbesitzers hatte sich scheinbar beschwert, dass der Pilot das Fluggerät mit einem Videomonitor steuere. Da die Drohne auch über andere Gärten fliege und sie dabei in die Nähe von Schlafzimmerfenstern komme, sei mithin eine massive Beeinträchtigung der Rechte und Freiheiten der Nachbarn wahrscheinlich.

In der Wohnung des Drohnenbesitzers hat man Datenträger sichergestellt. Diese würden nun ausgewertet.

Kategorien: Allgemein · Aufsichtsbehördliche Maßnahmen · DSGVO
Schlagwörter:

LDI Berlin verhängt Bußgeld in Höhe von 14,5 Millionen Euro gegen Wohnungsgesellschaft

5. November 2019

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 30.10.2019 den deutschlandweit bisher höchsten Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen. Der Verstoß gegen die DSGVO bestand in der Verwendung eines rechtswidrigen Archivsystems. Dieses verhinderte das Entfernen von nicht mehr erforderlichen personenbezogenen Daten von Mieterinnen und Mietern. Dadurch wurden die personenbezogenen Daten ohne Überprüfung der Rechtmäßigkeit der Verarbeitung fortwährend gespeichert. Obwohl der Zweck zur Datenerhebung bereits entfallen war, konnten die Daten zu persönlichen und finanziellen Verhältnissen der Betroffenen noch jahrelang eingesehen werden. Nachdem die Aufsichtsbehörde bereits im Juni 2017 auf die Missstände hingewiesen hatte, waren die rechtswidrigen Speichermethoden bei erneuter Kontrolle im März 2019 noch nicht beseitigt. Es konnte weder eine Bereinigung des Archivs nachgewiesen, noch Rechtsgründe für die weitere Speicherung der Daten vorgebracht werden.

Die Aufsichtsbehörde stützt ihren Bußgelderlass auf einen Verstoß gegen Art. 25 I und Art. 5 DSGVO im Zeitraum von März 2018 bis März 2019. Der gesetzliche Bußgeldrahmen, bemessen an dem Jahresumsatz der Deutsche Wohnen SE von über einer Milliarde Euro, lag bei 28 Millionen Euro. Zur Bestimmung des Bußgeldbetrages wurde der Verantwortlichen das bewusste Anlegen des Archivsystems und der lange Zeitraum des Verstoßes zulasten gelegt. Positiv wurden die Mitwirkungsbereitschaft gegenüber der Aufsichtsbehörde und die Vorbereitungsmaßnahmen zur Verbesserung des Systems berücksichtigt. Zusätzlich konnte kein missbräuchlicher Zugriff auf die personenbezogenen Daten nachgewiesen werden. Aus einer Gesamtabwägung ergab sich der Mittelwert von 14,5 Millionen Euro Bußgeld. Der Bußgeldbescheid ist noch nicht rechtskräftig.

Bundesrat stimmt Anpassungen an DSGVO beim 2. DSAnpUG EU zu

9. Oktober 2019

Ende Juni 2019 hat der Bundestag zahlreiche Anpassungen nationaler Vorschriften an die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) verabschiedet. Der Bundesrat hat diesen Anpassungen am 20.09.2019 nun zugestimmt.

Das aus 150 Artikel bestehende „Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ wird nun zur Unterzeichnung dem Bundespräsidenten weitergeleitet. Insgesamt greift es in 154 Fachgesetze ein und regelt den sogenannten bereichsspezifischen Datenschutz. Es liegen viele Anpassungen zu Begriffsbestimmungen, Verweisungen, Rechtsgrundlagen für die Datenverarbeitung und Regelungen zu den Betroffenenrechte vor.

Vor allem werden kleine Betriebe und ehrenamtliche Vereine insofern entlastet, dass die Pflicht einen betrieblichen Datenschutzbeauftragten zu bennenen künftig ab einer Personenzahl von 20 greift. Bislang musste nach § 38 BDSG ein Datenschutzbeauftragter eingesetzt werden, wenn sich „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten“. Der Bundesdatenschutzbeauftragte Ulrich Kelber weist jedoch darauf hin, dass es kleinen Unternehmen schwerfallen wird, den datenschutzrechtlichen Anforderungen ohne einen juristisch und technisch versierten Datenschutzbeauftragten gerecht zu werden.

1 2 3 20